12.05.2015, aktualisiert 18.05.2015
1930
3
0Doppeltes VLAN-Tagging
Moin moin zusammen,
nach jahrelangem "Passivlesen" habe ich heute auch eine Frage an die große Gemeinschaft:
Es existiert ein Netzwerk, in welchem bereits mit VLANs auf Portmappingebene sowie Trunk-Ports gearbeitet wird:
VLAN 10 Mgmnt
VLAN 20 Storage
VLAN 30 Intranet
Derzeit besteht zu einem weiteren Switch entsprechend ein Trunk, auf welchem die gleiche VLANs wiederum auf phys. Ports gemappt werden.
Also eine ganz einfache Übungen: einzelne Ports zu VLANs assigned in der Mitte ein lustiger Trunk.
Jetzt sollen die beiden Switche via direkter LWL-Leitung (3KM) weiterhin verbunden bleiben - klar LWL Port bekommt Trunk.
Aber jetzt kommt die Krux: über dieselbe LWL-Leitung müssen noch fremde Netze gereicht werden. Sprich: ich muss auf der LWL-Strecke via VLAN weitere Netze eingliedern. Das Problem ist jedoch, dass, auch aus Datenschutzgründen, die Initialkonfig mit VLAN 10, 20 und 30 nicht verändert werden soll.
MEIN NETZ (TRUNK PORT MIT VLAN 10, 20 UND 30) =============== LWL (MIT VLANS ZUR TRENNUNG VON MEIN NETZ UND FREMDNETZ ================ MEIN NETZ (TRUNK PORT MIT VLAN 10, 20 UND 30)
| | | |
FREMDNETZ (UNTAGGED) ====================== ====================== FREMDNETZ (UNTAGGED)
Um die Trennung auf der LWL-Stecke zur erreichen, würde ich 2 Extraswitche an die Endpunkte setzen und wiederum statische Ports auf VLANs mappen und einen Trunk auf die LWL Leitung legen.
Aber: Meine Pakete durchlaufen ja dann ein doppeltes Trunking - einmal von mir selbst und dann von außen auf der LWL-Trunkstrecke.
Ist dies überhaupt technisch möglich? Schließlich hat der Ethernetframe ja nur ein "Feld" für Tags...
Zudem sieht doch das ganze eher dann aus wie eine VLAN-Hopping-Attacke...
Sprich: eigentlich müsste ich meine VLANS doch auf phys. Ports mappen und dann einzeln auf den Switch zwischen der LWL-Leitung wieder "auflegen" - trunken - "auseinanderziehen" und erneut "auflegen"?
Vielen herzlichen Dank im Vorraus!
nach jahrelangem "Passivlesen" habe ich heute auch eine Frage an die große Gemeinschaft:
Es existiert ein Netzwerk, in welchem bereits mit VLANs auf Portmappingebene sowie Trunk-Ports gearbeitet wird:
VLAN 10 Mgmnt
VLAN 20 Storage
VLAN 30 Intranet
Derzeit besteht zu einem weiteren Switch entsprechend ein Trunk, auf welchem die gleiche VLANs wiederum auf phys. Ports gemappt werden.
Also eine ganz einfache Übungen: einzelne Ports zu VLANs assigned in der Mitte ein lustiger Trunk.
Jetzt sollen die beiden Switche via direkter LWL-Leitung (3KM) weiterhin verbunden bleiben - klar LWL Port bekommt Trunk.
Aber jetzt kommt die Krux: über dieselbe LWL-Leitung müssen noch fremde Netze gereicht werden. Sprich: ich muss auf der LWL-Strecke via VLAN weitere Netze eingliedern. Das Problem ist jedoch, dass, auch aus Datenschutzgründen, die Initialkonfig mit VLAN 10, 20 und 30 nicht verändert werden soll.
MEIN NETZ (TRUNK PORT MIT VLAN 10, 20 UND 30) =============== LWL (MIT VLANS ZUR TRENNUNG VON MEIN NETZ UND FREMDNETZ ================ MEIN NETZ (TRUNK PORT MIT VLAN 10, 20 UND 30)
| | | |
FREMDNETZ (UNTAGGED) ====================== ====================== FREMDNETZ (UNTAGGED)
Um die Trennung auf der LWL-Stecke zur erreichen, würde ich 2 Extraswitche an die Endpunkte setzen und wiederum statische Ports auf VLANs mappen und einen Trunk auf die LWL Leitung legen.
Aber: Meine Pakete durchlaufen ja dann ein doppeltes Trunking - einmal von mir selbst und dann von außen auf der LWL-Trunkstrecke.
Ist dies überhaupt technisch möglich? Schließlich hat der Ethernetframe ja nur ein "Feld" für Tags...
Zudem sieht doch das ganze eher dann aus wie eine VLAN-Hopping-Attacke...
Sprich: eigentlich müsste ich meine VLANS doch auf phys. Ports mappen und dann einzeln auf den Switch zwischen der LWL-Leitung wieder "auflegen" - trunken - "auseinanderziehen" und erneut "auflegen"?
Vielen herzlichen Dank im Vorraus!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 271839
Url: https://administrator.de/forum/doppeltes-vlan-tagging-271839.html
Ausgedruckt am: 14.07.2025 um 19:07 Uhr
3 Kommentare
Neuester Kommentar
Google mal nach "Q-in-Q"!
Gruß
sk
Gruß
sk
Mensch vielen Dank! Das Stichwort hat mir gefehlt - jetzt hoffe ich, dass unsere "preiswerten" TP-Links das können - Cisco haben wir leider nicht
Muss kein Cisco sein. Nahezu alle Hersteller haben Switches im Portfolio, die diesen Standard unterstützen. Im Zweifel bei Herstellern suchen, die häufig in Metro-Ethernet-Netzen zum Einsatz kommen. ZyXEL wäre hier z.B. als einer der preiswerteren Vertreter zu nennen. Die sind in Deutschland bei sehr vielen City-Carriern im Einsatz.
Gruß
sk
Gruß
sk
